“Geheimdienste und der umstrittene Datenhandel – “Sie kaufen auf Datenmärkten Informationen aus öffentlich zugänglichen Quellen ein”
Im Bereich der Informationstechnologie werden zunehmend mehr persönliche Daten gesammelt, gespeichert und bearbeitet. Dies führt dazu, dass immer mehr persönliche Daten in der digitalen Welt verfügbar sind und von jedermann abgerufen werden können. Angesichts dieser Entwicklung stellt sich die Frage, wie sicher diese Daten sind.
“Hacker “CtrlAlt” ist es gelungen, mit gefälschten Daten und falschem Namen ein Bankkonto zu eröffnen”
“Dem Hacker “CtrlAlt” ist es gelungen, mit gefälschten Daten und falschem Namen ein Bankkonto zu eröffnen. … Ein Sprecher des Chaos Computer Clubs (CCC) bestätigte dem “Spiegel”, dass Hacker eine kritische Schwachstelle im eID-Verfahren auf mobilen Geräten aufgedeckt hätten und es sich um ein “realistisches Angriffsszenario” handele.”
“Hacker eine kritische Schwachstelle im eID-Verfahren auf mobilen Geräten aufgedeckt hätten und es sich um ein “realistisches Angriffsszenario” handele”
Solche Sicherheitslücken werden als “Zero Day” bezeichnet und sind äußerst gefährlich, da sie eine mächtige Waffe darstellen, die sogar über einem Maschinengewehr, Abfangjäger, Panzer oder Militärdrohne steht. Es handelt sich um Schwachstellen, die von Hackern oder staatlichen Institutionen ausgenutzt werden, um Systeme zu attackieren. Wenn zum Beispiel ein Geheimdienst einen solchen Zero Day in einem Betriebssystem entdeckt, kann er in Computer eindringen, Daten stehlen und die Kommunikation überwachen. Jeder Nutzer sollte sich bewusst sein, dass seine Geräte möglicherweise gehackt wurden und sensible Informationen gefährdet sind. Es gibt viele unbekannte Lücken – einige sind den Behörden bekannt, während andere nur Hackern oder Regierungsbehörden bekannt sind. Tatsächlich agiert in vielen Fällen der Staat selbst als Hacker.
“Der Staat selbst als Hacker unterwegs ist, ist sehr umstritten”
>>Nachts im Kanzleramt von Marietta Slomka (Buch) <<
“Von einem Staatstrojaner ist die Rede, wenn staatliche Geheimdienste und die Polizei damit Verdächtige beschatten. Dass der Staat selbst als Hacker unterwegs ist, ist sehr umstritten. Denn Staatstrojaner und andere Schnüffelinstrumente sind super, solange damit die wirklich Bösen bekämpft werden, wie Terroristen oder Mafiosi. Aber was, wenn sie in die falschen Hände geraten? Oder der Staat selbst den Boden der Verfassung verlässt und Lust hat, Oppositionspolitiker, Journalisten und normale Bürger ohne guten Grund zu bespitzeln?”
“Staat selbst den Boden der Verfassung verlässt und Lust hat, Oppositionspolitiker, Journalisten und normale Bürger ohne guten Grund zu bespitzeln”
Die Produzenten werden oft erst auf Sicherheitslücken in ihren Systemen aufmerksam, wenn sie für Hacker uninteressant geworden sind oder Informationen ungewollt nach außen dringen, wie beim Ransomware-Angriff WannaCry. Diese bislang unbekannten Schwachstellen werden als Zero Days bezeichnet, da noch kein Patch existiert, um sie zu schließen. Cyberangriffe hängen davon ab, ob Angreifer eine Schwachstelle ausnutzen können, indem sie sogenannten “bösen Code” schreiben – auch bekannt als “Exploit“.
“Gibt es unter den Zero Days viele Lücken, die man als eine Art »Schläfer« bezeichnen kann”
>>Internet of Crimes von Gerald Reischl (Buch) <<
“Der »Zero Day Exploit Attack« (ZETA) ist ein Angriff, der an dem Tag erfolgt, an dem die hierbei ausgenutzte Schwachstelle in der entsprechenden Software entdeckt wird. In diesem Fall wird die Schwachstelle ausgenutzt, bevor sie vom Softwarehersteller durch einen Fix geschlossen werden kann. Allerdings gibt es unter den Zero Days viele Lücken, die man als eine Art »Schläfer« bezeichnen kann. Die entsprechenden Zero Day Exploit Attacks werden erst dann durchgeführt, wenn sie für den Hacker, den Geheimdienst, das Militär oder eine Behörde von Nutzen sind. Für viele Zero Days ist der Tag X nämlich noch nicht gekommen. Zero Days sind schon seit etwas mehr als zehn Jahren ein gängiges Mittel, um Gegner anzugreifen.”
“Zero Days sind schon seit etwas mehr als zehn Jahren ein gängiges Mittel, um Gegner anzugreifen”
Auf offiziellen oder weniger legalen Datenmärkten werden sämtliche mögliche Informationen gehandelt, darunter viele persönliche Daten. Ein bedeutender Akteur in diesem Bereich ist vermutlich der Geheimdienst.
“Geheimdienste” – “Sie kaufen auf Datenmärkten Informationen aus öffentlich zugänglichen Quellen ein”
“Oft klagen deutsche Geheimdienste darüber, wie bürokratisiert ihr Alltag ist, voller Auflagen und lästiger Kontrolleure. Doch in einem Bereich können sie bis auf Weiteres beinahe uneingeschränkt walten: Sie kaufen auf Datenmärkten Informationen aus öffentlich zugänglichen Quellen ein, darunter haufenweise personenbezogene Daten. Dazu zählen etwa Standortdaten, Wohnadressen oder Interessenprofile, die bei der Internetnutzung anfallen und meist für Werbezwecke verwertet werden.”
Auf welchen “Datenmärkten” sind die Geheimdienste unterwegs?
Inwieweit es sich wirklich um “Informationen aus öffentlich zugänglichen Quellen” handelt, dies sei mal dahin gestellt. Der Kauf solcher Daten würde jedoch die verfassungsrechtlichen Mindeststandards umgehen. Im Gegensatz zu anderen Informationsbeschaffungsmethoden benötigen die Dienste hier keine Genehmigungen, und die Verwendung der gekauften Daten wird nicht ausreichend kontrolliert. Geheimdienste könnten auf diese Weise an Informationen gelangen, die sie auf andere Weise nie hätten erheben dürfen oder zumindest umfangreiche Genehmigungsverfahren erfordert hätten. Bei schwerwiegenden Eingriffen in Grundrechte ist jedoch eine ähnliche Regelungs- und Kontrolldichte erforderlich wie bei anderen Informationsbeschaffungsmethoden.
“Der Verkauf gestohlener Bankdaten ist – nicht nur in der Schweiz – strafbar”
“Ein Mitarbeiter der Credit Suisse hatte eine erhebliche Menge an Kundendaten gesammelt. Zufällig erfuhr ein Bekannter davon und wies ihn darauf hin, dass man damit Geld machen könne. Dies taten die beiden, indem sie im Jahr Februar 2010 einen Datenträger mit Informationen über deutsche Konteninhaber, die berühmt-berüchtigte »Steuer-CD«, an den deutschen Fiskus verkauften (was der sich immerhin 2,5 Millionen Euro kosten ließ!). Zum eigenen Nutzen geriet ihnen dies nicht. Denn der Geldeingang auf einem ihrer Konten im Ausland wurde als die Bezahlung der geklauten Daten identifiziert und ihre Identität den Schweizer Behörden offen gelegt. Beide wurden zu Haftstrafen verurteilt. Denn eines muss man wissen: Der Verkauf gestohlener Bankdaten ist – nicht nur in der Schweiz – strafbar. Es handelt sich um Diebe, die Diebesgut verkaufen.”
Hehlerei: “Es handelt sich um Diebe, die Diebesgut verkaufen”
Beim Verkauf gestohlener Waren handelt es sich um Hehlerei. Diese “Datenmärkte” scheinen auf eine konstante Nachfrage zu stoßen, was die Nachfrage weiter ankurbelt.